Delen via


Meervoudige verificatie vereisen voor apparaatregistratie

Gebruik de Voorwaardelijke toegang gebruikersactie om beleid af te dwingen wanneer gebruikers apparaten registreren of koppelen aan Microsoft Entra ID. Dit besturingselement biedt granulariteit bij het configureren van meervoudige verificatie voor het registreren of samenvoegen van apparaten in plaats van een tenantbreed beleid dat momenteel bestaat. Beheerders kunnen dit beleid aanpassen aan de beveiligingsbehoeften van hun organisatie.

Uitsluitingen van gebruikers

Beleid voor voorwaardelijke toegang zijn krachtige hulpprogramma's. Het is raadzaam om de volgende accounts uit uw beleid uit te sluiten:

  • Accounts voor noodtoegang of break-glass-accounts om vergrendeling door verkeerde beleidsconfiguratie te voorkomen. In het onwaarschijnlijke scenario zijn alle beheerders vergrendeld, kan uw beheerdersaccount voor noodtoegang worden gebruikt om u aan te melden en stappen uit te voeren om de toegang te herstellen.
  • Serviceaccounts en serviceprincipals, zoals het Microsoft Entra Connect-synchronisatieaccount. Serviceaccounts zijn niet-interactieve accounts die niet zijn gebonden aan een bepaalde gebruiker. Ze worden normaal gebruikt door back-end services die programmatische toegang tot toepassingen mogelijk maken, maar worden ook gebruikt om in te loggen op systemen voor administratieve doeleinden. Oproepen van service-principals worden niet geblokkeerd door beleid voor voorwaardelijke toegang dat is gericht op gebruikers. Gebruik Voorwaardelijke toegang voor workload-identiteiten om beleidsregels te definiĆ«ren die gericht zijn op service-principals.
    • Als uw organisatie deze accounts in scripts of code gebruikt, kunt u overwegen om deze te vervangen door beheerde identiteiten.

Beleid voor voorwaardelijke toegang maken

Waarschuwing

Als u externe authenticatiemethodengebruikt, zijn deze momenteel niet compatibel met de authenticatiesterkte en moet u de Meervoudige authenticatie vereisen instelling gebruiken.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als op z'n minst een Beheerder voor voorwaardelijke toegang.
  2. Blader naar Beveiliging>Voorwaardelijke Toegang>Beleid.
  3. Selecteer Nieuw beleid.
  4. Geef uw beleid een naam. We raden organisaties aan een zinvolle standaard te maken voor de namen van hun beleidsregels.
  5. Onder Toewijzingen selecteert u Gebruikers- of workload-identiteiten.
    1. Selecteer onder Opnemen de optie Alle gebruikers.
    2. Onder Uitsluiten, selecteer Gebruikers en groepen en kies de nood- of 'break-glass'-accounts van uw organisatie.
  6. Selecteer onder Doelbronnen>Gebruikersacties de optie Apparaten registreren of eraan koppelen.
  7. Selecteer bijToegangsbeheer>Verlenen de optie Toegang verlenen.
    1. Selecteer Verificatiesterkte vereisen en selecteer vervolgens de ingebouwde multifactorauthenticatie verificatiesterkte uit de lijst.
    2. Selecteer Selecteren.
  8. Controleer uw instellingen en stel Beleid inschakelen in op Alleen rapporteren.
  9. Selecteer Maken om uw beleid in te schakelen.

Nadat beheerders de instellingen hebben bevestigd met de Alleen-rapport modus, kunnen ze de Beleid inschakelen schakelaar van Alleen-rapport naar Aan verplaatsen.

Waarschuwing

Wanneer een beleid voor voorwaardelijke toegang is geconfigureerd met de actie Apparaten registreren of toevoegen, moet u Identiteit>Apparaten>Overzicht>Apparaatinstellingen - Require Multifactor Authentication to register or join devices with Microsoft Entra instellen op Nee. Anders worden beleidsregels voorwaardelijke toegang met deze gebruikersactie niet goed gehandhaafd. Meer informatie over deze apparaatinstelling vindt u in Apparaatinstellingen configureren.

Schermopname van de optie om Multi-Factor Authenticatie te vereisen voor het registreren of toevoegen van apparaten met Microsoft Entra-controle, om deze te deactiveren.